Особенности безопасности в национальной платёжной системе

Дата публикации: 
28.11.2014

национальная платёжная система

Нормативная база и риски

 

Как известно, 27 июня 2011 года Президент РФ подписал Федеральный закон N 161-ФЗ "О национальной платёжной системе" (далее - закон N 161-ФЗ), формализовавший существующее положение вещей, когда проведение платежей обеспечивают не только банки, но и многочисленные организации, не имеющие банковской лицензии. Фактически национальная платёжная система (далее - НПС) состоит из операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платёжных агентов (а также субагентов), платёжных агентов, организаций федеральной почтовой связи при оказании ими платёжных услуг операторов платёжных систем, операторов услуг платёжной инфраструктуры.

Время издания этого закона совпало с периодом резкого всплеска преступных посягательств на денежные средства, циркулирующие в платёжной системе. Причём эти посягательства всё чаще выполняются с использованием компьютерных технологий. Налёты на отделения банков уже не приносят преступникам столько денег, сколько приносят интеллектуальные и технологичные способы их отъёма. Воруют деньги из банкоматов с использованием скиммингового оборудования, записывая данные банковских карт пользующихся банкоматами клиентов и изготавливая "белый пластик". Резкий рост хищений фиксируется в системах интернет-банкинга. "В этом году Сбербанк зафиксировал более тысячи случаев установки скиммингового оборудования на устройства самообслуживания банка и банкоматы. Это почти в три раза больше, чем было зафиксировано в прошлом году, - говорит заместитель председателя Сбербанка России Станислав Кузнецов. - В результате с помощью скиммеров мошенники украли у клиентов Сбербанка около 400 млн. руб., а ещё более 200 млн. руб. было похищено непосредственно из банкоматов. В системах дистанционного банковского обслуживания в текущем году в Сбербанке было похищено со счетов клиентов более 350 млн. руб." . Рост количества подобных преступлений фиксируют также ВТБ24, Альфабанк и другие кредитные организации.

В законе N 161-ФЗ законодатель посвятил вопросам защиты информации отдельную, 27-ю, статью, в которой установлено, что:

- операторы по переводу денежных средств, банковские платёжные агенты (субагенты), операторы платёжных систем, операторы услуг платёжной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности (далее - ИБ), персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ;

- контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляются Федеральной службой безопасности (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в пределах их полномочий и без права ознакомления с защищаемой информацией;

- операторы по переводу денежных средств, банковские платёжные агенты (субагенты), операторы платёжных систем, операторы услуг платёжной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платёжной системе в установленном им порядке, согласованном с ФСБ России и ФСТЭК России.

Таким образом, требования безопасности информации при переводе денежных средств устанавливают Правительство РФ и Банк России. Они же осуществляют контроль выполнения этих требований.

Во исполнение закона N 161-ФЗ были изданы три основных документа. Так, Правительство РФ выпустило постановление от 13.06.12 N 584 "Об утверждении Положения о защите информации в платёжной системе", вступившее в силу 1 июля 2012 года. Банк России издал ряд документов по рассматриваемой тематике: Положение от 09.06.12 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (зарегистрировано Минюстом России 14 июня 2012 года, регистрационный N 24575) и Указание от 09.06.12 N 2831-У "Об отчётности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платёжных систем, операторов услуг платёжной инфраструктуры, операторов по переводу денежных средств" (зарегистрировано Минюстом России 14 июня 2012 года, регистрационный N 24573).

В этих документах определены требования к безопасности информации при переводе денежных средств, а также требования к отчётности по этому вопросу.

Настоящая статья не ставит своей целью пересказывать эти документы. Конечно, их нужно изучить и выполнять. Однако мы попытаемся установить корни этих требований, субъектов, продвигающих их реализацию, а также меры противодействия наиболее актуальным угрозам.

 

Отраслевая стандартизация

 

Указанные выше требования появились не на пустом месте. В их основе, конечно, лежит СТО БР ИББС - известный комплекс документов, именуемый стандартом Банка России по обеспечению информационной безопасности банковской системы РФ. Ещё в середине 2000-х годов Банк России выступил инициатором создания фактически первого полноценного отраслевого стандарта, относящегося к информационной безопасности банковской системы РФ. В нём регулятор на основе лучших мировых практик сформулировал требования и процедуры, которыми могут руководствоваться банки для обеспечения необходимого уровня ИБ, а также для выполнения требований законодательства. В результате появился комплекс стандартов СТО БР ИББС. Он состоит из ряда отдельных стандартов и рекомендаций, которые освещают общие вопросы обеспечения ИБ, а также некоторые важнейшие задачи, связанные с этим обеспечением. Это, в частности, методические рекомендации по оценке соответствия ИБ требованиям СТО БР ИББС, методика оценки рисков нарушения ИБ, руководство по самооценке соответствия, аудит ИБ, методические рекомендации по документированию. Со временем отдельные документы комплекса СТО БР ИББС обновлялись и актуализировались. С появлением нормативных актов в области защиты персональных данных (далее - ПДн) комплекс пополнился отраслевой моделью угроз ПДн, требованиями по обеспечению безопасности ПДн, а также методическими рекомендациями по выполнению требований законодательства в области ПДн. Ценность СТО БР ИББС заключается в том, что банкам предложен единый комплексный подход к обеспечению защиты информации и информационных технологий, позволяющий одновременно выполнить требования законодательства. При этом каждый банк может самостоятельно или с использованием внешнего аудитора провести оценку степени выполнения у себя требований СТО БР ИББС и получить численное значение этой оценки. Полученные численные показатели дают возможность понять, насколько банк продвинулся в области обеспечения ИБ и какого уровня он достиг в этом вопросе. Как и любой стандарт, рассматриваемый комплекс не обязателен для выполнения в банках. Он предоставляет банкам лучшие практики. Однако уже больше половины всех российских банков добровольно присоединились к этому комплексу и реализуют его положения. Таким образом, банкам, которые присоединились к СТО БР ИББС, будет значительно проще выполнять требования (уже обязательные) безопасности информации в НПС.

С появлением закона N 161-ФЗ и приведённых выше документов Банка России иногда приходится слышать о том, что комплекс СТО БР ИББС морально устаревает и его актуальность снижается. Представляется, что это ошибочное мнение. Комплекс был и остаётся сборником лучших практик, из которых законодательные и регулирующие органы черпают идеи и положения новых нормативных актов. При этом, конечно, комплекс также требует модернизации и обновления. Действительно, появились новые (кроме банков) субъекты НПС. Практика нарушений ИБ подсказывает, что в будущей редакции стандарта нужно развивать и конкретизировать подходы, связанные с анализом и управлением новыми рисками, которые диктует жизнь. Одно из актуальных направлений развития - это усиление подхода, связанного с управлением рисками, с учётом резкого расширения многообразия технологий платежей и других финансовых операций. Информационная безопасность также должна серьёзно обосноваться на фондовом рынке и у всех новых субъектов НПС. Поэтому комплекс нужно актуализировать. При этом роль его как базиса, на котором основаны обязательные нормы и требования обеспечения ИБ, остаётся прежней.

 

Саморегулируемые организации

 

Руководство страны неоднократно подчёркивало значительную роль саморегулируемых организаций (далее - СРО) в процессах обеспечения деятельности органов управления государства по регулированию различных процессов. Должны быть чётко установлены границы государства, пределы его вмешательства в экономическую жизнь. В. Путин изложил эти мысли в предвыборной "экономической" статье "Новые механизмы участия". Он подчеркнул "необходимость адекватного ответа государства на одну из главных тенденций современного мира - усложнение общества: одно из важных решений здесь - это развитие саморегулируемых организаций... В этой связи на законодательном уровне следует расширять и углублять возможности и компетенции СРО. Этим организациям следует, в частности, активно участвовать в разработке новых нормативов и регламентов". В таком контексте, как представляется, должна возрасти роль существующих саморегулируемых организаций в оказании Банку России и другим регуляторам содействия в решении задач по обеспечению ИБ. Среди таких организаций в финансовой сфере можно указать:

- некоммерческое партнёрство (далее - НП) - "Сообщество пользователей стандартов по информационной безопасности АБИСС" ;

- НП НПС ;

- ассоциацию "Электронные деньги" ;

- Национальную ассоциацию участников фондового рынка (НАУФОР) .

Роль некоммерческих СРО также должна существенно вырасти в направлениях консалтинга, аудита, а также подготовки квалификационных требований и квалифицированных кадров в отрасли ИБ.

Минфин России также задумался о роли СРО на финансовом рынке страны . В частности, главное финансовое ведомство не так давно направило в адрес руководителей ассоциаций, союзов, СРО и других профессиональных организаций, работающих на рынке ценных бумаг и микрофинансирования, на фондовом, банковском и страховом рынках, письмо с просьбой сформировать предложения по определению их места и роли. В письме было отмечено, что в настоящее время комплексная роль профессиональных объединений на финансовом рынке нашей страны точно не определена, а это, в свою очередь, затрудняет работу по реализации государственной политики, по совершенствованию нормативно-правовой базы и порядка контроля и надзора за деятельностью участников финансового рынка. Согласно представленному на официальном сайте министерства тексту письма наиболее важными предложениями могут стать:

- организация контроля и надзора за деятельностью профессиональных участников рынка посредством СРО;

- решение вопроса об обязательном членстве в профильных саморегулируемых организациях игроков финансового рынка;

- разработка и формирование правил профессиональной этики, механизма обеспечения ответственности вступающих в СРО участников финансового рынка;

- передача функций регулирования отрасли саморегулируемым организациям, созданным в данной области деятельности;

- формирование саморегулируемыми организациями требований к составу членов, их уровню профессиональной деятельности;

- распределение саморегулируемых организаций по сегментам рынка, установление разрешительного или уведомительного характера регистрации данных, предоставленных СРО финансового рынка.

Почти все тезисы этого письма можно отнести непосредственно к вопросам защиты информации.

 

Что делать?

 

Рассмотрим только наиболее актуальные риски при проведении платежей, указанные в первой части настоящей статьи, - хищение денег в интернет-банкинге.

Конспективно все основные необходимые действия выглядят следующим образом:

1) защита серверной части (субъекта НПС): защита от несанкционированного доступа и нерегламентированных действий (далее - НСД), управление уязвимостями и инцидентами, антивирусная защита, контроль целостности, мониторинг действий администраторов (в первую очередь) и других работников субъекта НПС, страхование рисков;

2) защита клиентской части (клиента (пользователя) НПС): двухфакторная аутентификация, фрод-мониторинг клиентских транзакций, страхование рисков, антивирусная защита, СМС-информирование об операциях (попытках), СМС-подтверждение (разовыми паролями) транзакций;

3) выявление потенциальных дроперов (участников хищений), через банковские (карточные) счета которых обналичиваются (похищаются) денежные средства;

4) юридическая значимость договоров с клиентами, повышение уровня осведомлённости всех участников по вопросам ИБ.

Борьба с дроперами - бурно развивающееся направление деятельности банков, связанной с ростом соответствующих рисков в системах дистанционного банковского обслуживания. Эта борьба основана на выявлении дроперов, использовании временных лагов при проведении подозрительных операций со счетами дроперов, использовании "чёрных" списков дроперов, использовании набора предустановленных правил выявления фрода, а также возможности блокировки платежа (сессии) клиента до попадания транзакции в платёжную систему (АБС/процессинг).

Остановимся более подробно на системах фрод-мониторинга транзакций. В последнее время эти системы стали стремительно распространяться в банковской среде. Они предназначены для выявления операторами интернет-банкинга (или, обобщённо, систем дистанционного банковского обслуживания (далее - СДБО)) подозрительных на мошенничество соединений "клиентов" с целью пресечения хищения денежных средств с их счетов. Системы фрод-мониторинга транзакций позволяют ещё на этапе получения банком клиентской транзакции проверить её истинность (легитимность). При такой проверке реализуются два принципа: поиск злоумышленника при входе в интернет-банкинг (с использованием параметров этого входа) и поиск мошеннических платежей (транзакций), используя их параметры. Ключевые особенности, отличающие качественную систему фрод-мониторинга:

- использование обоих подходов в реализации (входы и транзакции);

- создание профилей активности клиентов;

- применение статистического анализа;

- использование "чёрных" списков.

Основные задачи и характеристики систем фрод-мониторинга:

- обнаружение мошеннических действий до проведения платёжных поручений;

- категорирование обнаруженных инцидентов по степени их критичности;

- возможность управления чувствительностью системы с целью регулирования количества инцидентов, попадающих на рассмотрение операторов системы;

- передача инцидентов на "ручной" контроль с визуальным выделением для оператора соединений клиента СДБО;

- возможность получения оператором максимально возможных данных в едином интерфейсе для принятия решения о статусе соединения, получения данных о способах связи с клиентами;

- мониторинг действий клиентов в СДБО;

- возможность формирования отчётов, позволяющих оценивать эффективность функционирования программного обеспечения и качество работы операторов.

Хорошая система фрод-мониторинга должна обладать следующими свойствами, позволяющими эффективно её использовать:

- отображать подозрительные соединения клиента СДБО, основываясь на истории предыдущих входов данного клиента;

- учитывать предыдущую реакцию оператора на подобный вход. Если у данного клиента уже были входы, подобные исследуемому, оценка их опасности понижается;

- отображать контактные данные клиента (Ф.И.О. ответственных лиц, телефоны, электронную почту и др.);

- данные должны поступать в интерфейс оператора последовательно, по мере их обработки аналитическим ядром системы;

- должна иметься возможность просмотра истории входов клиента (при открытии подозрительного инцидента, связанного с этим клиентом);

- должна иметься возможность просмотра остатков (истории этих остатков) на счетах клиента;

- должна иметься возможность просмотра последних платёжных поручений клиента;

- должна иметься возможность просмотра информации о некоторых аутентификационных данных клиента;

- при выделении подозрительного входа как принятого в обработку у остальных операторов группы фрод-мониторинга должна отсутствовать возможность обработки входов данного клиента (во избежание коллизий);

- подозрительные входы, принятые или обработанные одним оператором, должны быть недоступны для изменения другими операторами;

- принятые в обработку входы и транзакции (в целом - заявки) должны быть всегда доступны отдельным списком, для того чтобы можно было вернуться к ним в любой момент;

- должна иметься возможность просмотра всех заметок по обрабатываемому клиенту, включающих историю звонков с указанием, кто именно звонил, и заметки (комментарии) по отдельным инцидентам и по клиенту в целом;

- должна иметься возможность фиксирования информации по принятому в обработку подозрительному подключению, включающей дату обработки, оператора, комментарии по подозрительному входу и по клиенту в целом;

- доступ к интерфейсам системы должен быть разграничен по ролям;

- должна вестись история всех действий операторов в системе;

- должна иметься возможность делегирования полномочий другим операторам системы;

- должен иметься административный интерфейс для просмотра различных статистик по работе пользователей и другой информации (в частности, по количеству фрода, по историям действий операторов и т.д.);

- система фрод-мониторинга должна легко адаптироваться к различным распространённым системам дистанционного банковского обслуживания и автоматизированным банковским системам.

Практика применения подобных систем фрод-мониторинга транзакций в интернет-банкинге показала, что они обладают высокой эффективностью, которая обеспечивается соответствующей настройкой и адаптацией системы, и не требуют значительных административных затрат. Такие системы реально предотвращают хищения на сотни миллионов рублей и быстро окупаются. Использование систем фрод-мониторинга транзакций рекомендуется всем субъектам НПС, в которых применяется интернет-банкинг, или дистанционное банковское обслуживание в любой форме.